Il panorama della sicurezza informatica continua a evolversi a ritmi serrati, e il più recente rapporto trimestrale di Cisco Talos offre una fotografia precisa e preoccupante delle minacce che colpiscono infrastrutture critiche, telecomunicazioni e pubblica amministrazione. Tra le tendenze più rilevanti emerge con forza la persistenza degli attacchi attraverso applicazioni esposte pubblicamente su internet, che da soli rappresentano quasi il 40% di tutti gli incidenti gestiti nel trimestre. A questa pressione si aggiunge l'evoluzione delle campagne di phishing verso tecniche sempre più mirate, mentre il ransomware, pur in calo percentuale, continua a essere gestito da gruppi strutturati e tecnicamente sofisticati. Il quadro complessivo delinea un ecosistema criminale che affina costantemente i propri metodi, riducendo i tempi tra la scoperta di una vulnerabilità e il suo sfruttamento attivo.
Il dato sulle applicazioni esposte merita un'analisi approfondita: si tratta della principale porta d'ingresso per gli aggressori, sfruttata soprattutto perché molti servizi online vengono distribuiti con configurazioni predefinite che rendono agevole l'identificazione delle falle. La velocità di reazione degli attaccanti è diventata il fattore critico: Cisco Talos documenta almeno un caso in cui un server privo delle ultime patch di sicurezza è stato compromesso nel giro di poche ore dalla pubblicazione della vulnerabilità. In seguito alla compromissione, gli aggressori hanno installato strumenti malevoli per mantenere l'accesso persistente al sistema, con ogni probabilità nell'ambito di una campagna estorsiva. In un secondo episodio distinto, una falla in un framework web ha aperto la strada all'installazione di software per il mining di criptovalute, confermando che la superficie d'attacco delle applicazioni esposte viene sfruttata per finalità molto eterogenee, non solo distruttive.
Sul fronte del phishing, il rapporto di Talos segnala una svolta tattica particolarmente insidiosa: le campagne si spostano verso un uso sistematico di identità e account già compromessi per aumentare la credibilità dei messaggi inviati. Una delle operazioni documentate ha preso di mira organizzazioni tribali dei nativi americani: gli aggressori, partendo da account di posta elettronica precedentemente violati e da un sito web legittimo anch'esso compromesso, hanno inviato comunicazioni che simulavano aggiornamenti su corsi di formazione, con l'obiettivo finale di sottrarre ulteriori credenziali di accesso. In un secondo caso, un account aziendale compromesso è stato utilizzato per propagare nuove ondate di messaggi fraudolenti verso contatti interni ed esterni, continuando l'attività anche dopo la disattivazione dell'account originale attraverso l'uso di indirizzi falsificati. In entrambi gli scenari, l'assenza dell'autenticazione a più fattori ha rappresentato il fattore abilitante dell'intera catena d'attacco.
Il ransomware si attesta al 13% degli incidenti del trimestre, in calo rispetto ai periodi precedenti, ma la riduzione percentuale non deve essere interpretata come un segnale di arretramento del fenomeno. Il gruppo Qilin si conferma tra i più attivi, mentre DragonForce ricompare sulla scena dopo oltre un anno di assenza, segnale evidente che il panorama criminale si riorganizza con velocità notevole. Di particolare interesse tecnico è la tattica osservata in uno degli incidenti analizzati: gli attaccanti hanno utilizzato esclusivamente strumenti di gestione remota legittimi, già presenti nell'infrastruttura aziendale, per muoversi lateralmente nella rete senza generare allarmi immediati nei sistemi di rilevamento. Solo dopo aver esfiltrato i dati sensibili è scattata la cifratura. Questa strategia di "vivere fuori dal territorio", nota nella comunità della sicurezza come living-off-the-land, riduce drasticamente la visibilità delle attività malevole e rende inefficaci molti sistemi di rilevamento basati su firme di software malevolo noto.
I settori delle telecomunicazioni e della pubblica amministrazione emergono come i più esposti alle dinamiche descritte nel rapporto. Le telecomunicazioni gestiscono infrastrutture distribuite su larga scala e servizi di comunicazione essenziali: la presenza di piattaforme condivise tra più organizzazioni e la necessità assoluta di continuità operativa amplificano la superficie d'attacco e rendono ogni interruzione potenzialmente ad alto impatto. Le pubbliche amministrazioni, dal canto loro, combinano spesso l'utilizzo di sistemi datati con la gestione di grandi volumi di dati sensibili dei cittadini, una combinazione che le rende bersagli particolarmente attrattivi per chi cerca effetti immediati e visibili. In diversi casi documentati da Talos, account compromessi all'interno di enti pubblici sono stati sfruttati per propagare campagne fraudolente sia verso contatti interni che esterni all'organizzazione, amplificando l'impatto iniziale dell'intrusione.
Sul piano delle contromisure, Cisco Talos individua alcune priorità chiave per ridurre l'esposizione al rischio. In primo luogo, la gestione puntuale degli aggiornamenti rimane una leva fondamentale: oltre un terzo degli incidenti ha riguardato sistemi non aggiornati o configurati in modo da risultare facilmente accessibili dall'esterno. L'adozione sistematica dell'autenticazione a più fattori emerge come misura ad alto impatto contro il furto e l'abuso di identità digitali. A queste si aggiunge la necessità di una gestione centralizzata dei log di sistema, capace di garantire la disponibilità delle informazioni diagnostiche anche nei casi in cui gli aggressori cancellino i registri locali durante le operazioni di esfiltrazione.
Talos raccomanda inoltre di implementare sistemi di monitoraggio comportamentale in grado di riconoscere anomalie nell'utilizzo degli strumenti di gestione remota, così da intercettare i movimenti laterali nella fase più precoce possibile. Guardando al futuro, la combinazione tra la velocità crescente con cui le vulnerabilità vengono sfruttate dopo la divulgazione pubblica e la sofisticazione tattica dei gruppi ransomware suggerisce che il prossimo trimestre potrebbe vedere un'ulteriore evoluzione verso attacchi multistadio, in cui la compromissione iniziale attraverso applicazioni esposte viene sistematicamente combinata con tecniche di persistenza basate su credenziali legittime, rendendo ancora più complessa la risposta difensiva per le organizzazioni di ogni dimensione.
